Abo
  • Services:

Kritische Sicherheitslücke in PHP

Fehler gefährdet zahlreiche PHP-Applikationen

PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Artikel veröffentlicht am ,

Die Schwachstelle im Datei-Upload-Code erlaubt es, das Array "GLOBALS" zu überschreiben, wenn "register_globals" aktiviert ist. Dies könne zu unerwarteten Sicherheitsproblemen in PHP-Code führen, das an sich als sicher angesehen wird.

Stellenmarkt
  1. über duerenhoff GmbH, Duisburg
  2. Controlware GmbH, Ingolstadt

Esser befürchtet daher Konsequenzen für viele PHP-Applikationen, z.B. solche, die PEAR.php verwenden oder auch vBulletin. Es sei auch möglich, auf diesem Weg fremden Code auszuführen.

Die Problematik beschreibt Esser in einem Artikel. Das Problem wirkt sich laut Esser auch auf Applikationen aus, die das Einbetten lokaler Dateien erlauben und im Safe-Mode von PHP laufen.

Wer den Hardening-Patch für PHP einsetzt, soll auf der sicheren Seite sein, allen anderen legt Esser dringend ein Update auf die neu erschienene Version PHP 4.4.1 nahe. Für PHP 5 ist noch kein Update erschienen.

Neben diesem kritischen Problem weist Esser auf weitere Sicherheitslücken in der Funktion parse_str() und eine XSS-Lücke in der Funktion phpinfo() hin.



Anzeige
Spiele-Angebote
  1. 6,37€
  2. 33,99€
  3. 59,99€ mit Vorbesteller-Preisgarantie

M*I*B 20. Nov 2005

AUA! Ist das hier ein Rechtschreibforum oder was? Bahhh. Immer diese Oberlehrer...

sdfsd 01. Nov 2005

Perl, Python oder Pike. Das Problem an PHP ist das die Firma (Zend) nur Geld verdienen...


Folgen Sie uns
       


Logitechs MX Vertical und Ankers vertikale Maus im Vergleichstest

Die MX Vertical ist Logitechs erste vertikale Maus. Sie hat sechs Tasten und kann wahlweise über Blueooth, eine Logitech-eigene Drahtlostechnik oder Kabel verwendet werden. Die spezielle Bauform soll Schmerzen in der Hand, dem Handgelenk und den Armen verhindern. Wem es vor allem darum geht, eine vertikale Sechstastenmaus nutzen zu können, kann sich das deutlich günstigere Modell von Anker anschauen, das eine vergleichbare Bauform hat. Logitech verlangt für die MX Vertical 110 Euro, das Anker-Modell gibt es für um die 20 Euro.

Logitechs MX Vertical und Ankers vertikale Maus im Vergleichstest Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
    Lenovo Thinkpad T480s im Test
    Das trotzdem beste Business-Notebook

    Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
    2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
    3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

    Apple: iPhone Xs und iPhone Xs Max sind bierdicht
    Apple
    iPhone Xs und iPhone Xs Max sind bierdicht

    Apple verdoppelt das iPhone X. Das Modell iPhone Xs mit 5,8 Zoll großem Display ist der Nachfolger des iPhone X und das iPhone Xs Max ist ein Plus-Modell mit 6,5 Zoll großem Display. Die Gehäuse sind sogar salzwasserfest und überstehen auch Bäder in anderen Flüssigkeiten.

    1. Apple iPhone 3GS wird in Südkorea wieder verkauft
    2. Drosselung beim iPhone Apple zahlt Kunden Geld für Akkutausch zurück
    3. NFC Yubikeys arbeiten ab sofort mit dem iPhone zusammen

      •  /